élaborer et faire appliquer une charte de sécurité informatique

ÉLABORER ET FAIRE APPLIQUER UNE CHARTE
DE SÉCURITÉ INFORMATIQUE
Lorraine
Une charte informatique définit les règles d’utilisation du système d’information (équipements,
logiciels, messagerie, fichiers…) de l’entreprise. Son objectif : responsabiliser et sensibiliser les salariés à
la sécurité informatique.
Les outils technologiques mis à la disposition des collaborateurs de l'entreprise ne se limitent plus à un
téléphone fixe et à un ordinateur de bureau. Non seulement ces outils se sont diversifiés ces dernières
années, mais leur utilisation a également beaucoup évolué. Le travail nomade a ainsi participé au
développement de l’usage de l’ordinateur portable, du smartphone ou encore du webmail.
Par ailleurs, les salariés peuvent être tentés d'utiliser leurs propres équipements sur le lieu de travail, à
des fins professionnelles ou pas : téléphone portable personnel, baladeur MP3, clé USB, sans oublier la
consultation d'Internet et des messageries personnelles.
En cas d’utilisation illégale ou malveillante du Système d’Information (SI) par un salarié de l’entreprise,
son dirigeant peut être tenu responsable civilement, voire pénalement. C’est pourquoi, il est nécessaire
qu’il se protège juridiquement et qu’il définisse des règles claires d’utilisation de l’informatique dans
l’entreprise.
Cette notice traite du contenu essentiel d’une charte informatique et des principes juridiques auxquels
elle se rapporte.
LES OBJECTIFS D’UNE CHARTE
Même avec les meilleurs outils existants en matière de sécurité informatique, le système
d’information d’une entreprise peut devenir perméable si l’entreprise ne maîtrise pas le facteur
humain.
En effet, le personnel fait partie intégrante du SI. Il en est même un maillon essentiel. Chaque salarié
ayant accès à tout ou une partie du patrimoine informationnel, doit avoir conscience de la sensibilité
et de la vulnérabilité des informations et respecter quotidiennement les règles internes de sécurité.
Une charte de sécurité informatique est le document de référence sur lequel s’appuient les actions de
sensibilisation des salariés à la sécurité du système d’information. Elle est, à la fois, un moyen
d’informer les salariés sur les utilisations autorisées du système d’information, et une manière de
cadrer les sanctions éventuellement applicables en cas de non-respect de ces règles.
LE CONTENU D’UNE CHARTE
Le contenu d’une charte doit s’appuyer sur les usages du système d’information et les besoins de
l’entreprise en matière de sécurité informatique. C’est pourquoi, il est inutile de reproduire la charte
d’une autre entreprise.
Page 1 sur 5
Par ailleurs, l’élaboration de ce document s’accompagne d’une réflexion sur les risques probables dus
à des erreurs ou malveillances internes.
Chaque charte est unique, mais voici les principales thématiques à aborder :
LE CHAMP D’APPLICATION
Il s’agit à la fois de déterminer qui est concerné par cette charte, et sur quels équipements,
applications et données elle porte.

Les utilisateurs concernés
Même si la charte s’applique en principe à tous les utilisateurs, il est important de les nommer pour
lever les ambigüités : salariés, quel que soit leur contrat (intérimaires, stagiaires, employés de sociétés
prestataires, mandataires sociaux, visiteurs occasionnels, etc).
Par ailleurs, il est possible d’ajouter une clause incitant les salariés à faire accepter les règles de la
charte aux personnes ayant accès au système d’information.

Périmètre du système d’information
Il est nécessaire d’énumérer les équipements (ordinateurs, téléphones, photocopieurs, etc.) et services
(logiciels, intranet, messagerie, etc.) sur lesquels porte la charte.
Le matériel personnel des salariés, connecté au système d’information de l’entreprise (clé USB, lecteur
MP3), peut également entrer dans le périmètre de la charte.
CONDITIONS D’UTILISATION DU SI

Equipement et logiciels
Il s’agit de déterminer si une utilisation personnelle résiduelle est tolérée ou pas. Ce chapitre est aussi
l’occasion de préciser les téléchargements de logiciels autorisés et interdits (Exemple : messagerie
instantanée, jeux, etc.).
Un point particulier pourra être consacré au téléphone. Même s’il est difficile d’interdire toute
communication privée, la charte pourra rappeler au salarié qu’il ne doit pas dépasser les limites de
l’urgence ou du raisonnable dans le cadre de ses appels personnels.

Ressources informationnelles
Ce chapitre doit traiter des règles de sécurité relatives à la protection des données de l’entreprise :
 utilisation et renouvellement des mots de passe : ne pas écrire son mot de passe, ne pas
utiliser le prénom d’un proche…
 connexion à distance au serveur de l’entreprise : ne pas utiliser les bornes wifi en libre
accès, se connecter uniquement depuis son ordinateur portable…
 utilisation de clés USB et disques durs externes : les garder toujours sur soi lors des
déplacements…

Messagerie électronique
Il est indispensable de rappeler quelques principes généraux notamment vis-à-vis :
Page 2 sur 5



Du spam : ne pas répondre ou ouvrir les pièces jointes d’un message dont l’objet ou
l’expéditeur semble douteux, signaler au service informatique les débordements de
spam…
Des messages confidentiels : crypter les messages confidentiels, utiliser les options
d’accusés de réception et les certificats de signature électronique pour l’envoi de
documents importants…
Des lois : ne pas utiliser sa messagerie professionnelle pour envoyer du spam, ne pas tenir
des propos diffamatoires, injurieux ou constituant un acte de concurrence déloyale…
Remarque
La responsabilité de l’employeur peut être engagée du fait du comportement de son salarié au titre de
l’article 1384 du Code Civil sur le principe général de la responsabilité du fait des commettants. C’est
pourquoi, il est très important de faire mentions dans la charte, des actes illicites afin de couvrir
juridiquement l’entreprise et son dirigeant.
Par ailleurs, une attention particulière doit être portée aux messages personnels. La législation sur le
secret des correspondances1 protège le salarié des interceptions de courriers électroniques par
l’employeur. Même si ce dernier a interdit l’usage non professionnel de la messagerie de l’entreprise,
la consultation des emails nécessite la présence du salarié ou d’un représentant du personnel
Afin de ne pas commettre d’impair, il est recommandé d’inciter les salariés à signaler leurs messages
personnels par la mention « privé » dans l’objet et de classer ces mêmes emails dans un dossier
intitulé « privé ».
Des précautions semblables peuvent être requises concernant les messages échangés avec les
représentants du personnel.
Enfin, les salariés doivent être tenus informés si des mesures techniques, telles que la limitation du
nombre de destinataires d’un email ou du volume d’une pièce jointe ou encore la suppression des
messages passé un certain délai, ont été mises en place.

Internet
La charte informatique peut rappeler les limites de l’utilisation d’Internet au sein de l’entreprise et
notamment les sites interdits. Les utilisateurs doivent être informés si un dispositif de filtrage d’accès à
Internet a été mis en place.
Par ailleurs, il semble opportun de rappeler quelques limites à l’usage des réseaux sociaux, blogs,
messagerie instantanée et forum de discussion. Les contributions des salariés doivent observer une
certaine réserve à propos des informations sur l’entreprise n’ayant pas fait l’objet d’une
communication officielle.
Aucune entreprise n’est à l’abri d’un salarié faisant état, sur Internet, de son mécontentement ou
donnant tous les détails du dernier produit.
1
Article L 226-15 du Code Pénal.
Page 3 sur 5
CONDITIONS D’UTILISATION DU MATERIEL PERSONNEL
Là encore, la charte doit trancher si elle tolère ou pas une utilisation résiduelle d’équipements
personnels (lecteur MP3, clé USB…). Le plus gros risque reste l’introduction, souvent involontaire, de
virus dans le système d’information de l’entreprise.
La charte peut, par exemple, énumérer les usages autorisés et prohibés, puis préconiser une validation
auprès du responsable informatique pour tout autre usage.
SANCTIONS
Il s’agit d’avertir les salariés que le manquement aux règles mentionnées dans la charte pourra
engager leur responsabilité (notamment s’ils commettent des actes illicites) et engendrer des
avertissements, voire des sanctions disciplinaires.
CONTROLE DES ACTIVITES
Afin de détecter d’éventuels dysfonctionnements ou actes de malveillances, les entreprises disposent
très souvent de dispositifs de contrôle automatisé des activités du système d’information qui
surveillent, par exemple, les modifications et la suppression de fichiers, les connexions entrantes et
sortantes du réseau interne ou encore la messagerie.
La loi2 stipule que les salariés doivent être impérativement informés de l’existence et de la finalité de
ce dispositif ainsi que de la durée de conservation de ces relevés de suivi d’activité.
En cas de dysfonctionnement constaté, le responsable informatique peut avoir besoin de vérifier une
opération effectuée par un utilisateur. Toutefois aucune vérification ne pourra se faire en l’absence du
salarié concerné. La charte est aussi un moyen d’informer les collaborateurs de leurs droits.
INFORMATIONS AUX SALARIES
Il s’agit de faire la publicité de la charte informatique (affichage dans les locaux de l’entreprise, dépôt
sur l’intranet) et de recommander aux salariés de contacter le responsable informatique pour toute
question relative à la sécurité du système d’information.
La charte permet également de communiquer sur l’existence d’actions régulières de sensibilisation et
de formation aux règles de sécurité interne.
ENTREE EN VIGUEUR
Inscrire la date à partir de laquelle la charte est applicable et préciser s’il y a eu une validation du
comité d’entreprise ou des délégués du personnel.
COMMENT RENDRE UNE CHARTE OPPOSABLE ?
Trois possibilités sont envisageables pour donner force obligatoire à une charte informatique auprès
des salariés :
2
La loi informatique et liberté s’applique car ces contrôles collectent des données personnelles.
Page 4 sur 5

Demander leur accord aux employés
La charte s’imposera à tous les employés dès lors qu’ils auront signé le document. Ceux qui refuseront
de valider ce document ne pourront se voir imposer les obligations contenues dans celui-ci.

Annexer la charte au contrat de travail
Cette possibilité est envisagée dans le Code du travail mais n’est pas spécifique aux règles applicables
en matière informatique au sein de l’entreprise.
Elle peut être source de conflit ou tension avec les salariés parce que susceptible d’être imposée de
manière autoritaire. C’est pourquoi la voie du règlement intérieur est la plus adéquate.

Annexer la charte au règlement intérieur
Les entreprises de plus de 20 salariés doivent obligatoirement disposer d’un règlement intérieur selon
l’article L. 122-33 du Code du travail. L’élaboration de ce document est précédée d’une concertation
avec les représentants du personnel. La validation de la charte par la même voie permet de s’assurer
du consentement des salariés et de la rendre plus facilement opposable.
Remarque
Il est important de se faire accompagner par un juriste spécialisé car une disposition floue ou un oubli
peut parfois remettre en cause la validité de toute une charte devant un tribunal.
POUR ALLER PLUS LOIN
Guide d’élaboration d’une charte d’utilisation des moyens Intranet et Internet
Club de la Sécurité des systèmes d’Information Français (CLUSIF) – Avril 2002
Disponible sur www.clusif.fr
www.ene-lorraine.com/contact
www.prestataires-tic-lorraine.com
Page 5 sur 5